瑞星卡卡安全论坛
zemelaoshi - 2010-10-14 9:17:00
中了硬盘引导区病毒virus.boot.defo,特来向高手请教。
1.用了很多杀毒软件都不行,病毒总是被忽略掉
2.本人已经尝试在安全模式和DOS下查杀,但只能侦测到,查杀不掉。
3.重新还原系统后,过一段时间后,该病毒会再次复发。
4.由于本人硬盘里有重要文件,无法格盘,特来向高人请教是否有格盘外的其他办法。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
天月来了 - 2010-10-14 9:22:00
下载BOOTICE工具,查看磁盘引导区类型,抓图我看:
附件:
BOOTICE.rar
zemelaoshi - 2010-10-14 9:38:00
天月来了 - 2010-10-14 9:43:00
如果你的硬盘确实是图中那个目标磁盘
那么这“其他类型的mbr”很可能意味着确实是中了引导区病毒了
如果磁盘内无重要文件,可以试着用那工具选择“安装/配置”来修复引导区,如果你那是xp系统,就修复为“Windows NT 5.*默认引导程序”吧。
修复完重启电脑,再看如何
zemelaoshi - 2010-10-14 9:55:00
版主呀,好像这个病毒还是存在呀,而且他还把Windows的主题包给破坏了,一插入U盘就会产生Autorun.inf和一个回收站图标,普通的杀毒软件只是清除掉Autorun.inf和一个回收站图标,根本没有把病毒源头清除掉(过一会儿还会产生这两个文件)。时间久了盘里面得所有的exe执行档也都会被感染。
networkedition - 2010-10-14 10:01:00
是否参考4楼方法操作了?如已操作完毕,可以抓新图来看一下系统mbr是否正常了。
天月来了 - 2010-10-14 10:02:00
你扫描个SRENG日志我看
引导区的修复是肯定需要修复的
至于修复的危险性,得你自己选择了,我是帮不了你的
因为病毒的特殊性,我无法保证修复后的可靠性,危险就是或许会丢失大量文件
zemelaoshi - 2010-10-14 10:04:00
天月来了 - 2010-10-14 10:06:00
SRENG日志拿来,快点!!!
networkedition - 2010-10-14 10:08:00
把那个回收站图标的程序打包发送上来。
使用System Repair Engineer扫描日志,将日志作为附件上传上来。
下载页面:
http://www.kztechs.com/sreng/download.html操作方法:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
4、选择保存路径,文件名保持默认,直接点击【保存】;
5、打开保存的日志文件SREngLOG.log,完整复制全部内容,新建一个文本文档,将日志中的全部内容粘贴到“新建文本文档.txt”中;
6、将“新建文本文档.txt”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序
zemelaoshi - 2010-10-14 10:13:00
zemelaoshi - 2010-10-14 10:21:00
病毒
瑞星工程师14回复:该文件不是病毒。附件:
virus.zip
zemelaoshi - 2010-10-14 10:34:00
版主就在刚刚,主题包又被破坏了,任务栏变白条~
天月来了 - 2010-10-14 10:35:00
你意思是你现在还是所有盘不断生成那个autorun.inf文件和它指向的回收站内的病毒文件??
日志里没看见此病毒和autorun.inf文件呢
zemelaoshi - 2010-10-14 10:38:00
只有U盘里面产生,硬盘里面没有
天月来了 - 2010-10-14 10:42:00
天月来了 - 2010-10-14 10:55:00
你的U盘内病毒文件彻底删除后,在无病毒文件的情况下,去别的电脑插入,看是否还出现那病毒文件呢??
zemelaoshi - 2010-10-14 10:55:00
谢谢版主了,我先看看~:kaka12:
zemelaoshi - 2010-10-14 10:59:00
那样就没有了~
天月来了 - 2010-10-14 11:13:00
那么去将你的电脑内非Windows目录的其他目录,其他盘内的已运行的所有程序关闭
然后将曾经运行过的其他盘的,包括C:\Program Files目录内的一些非微软的你后安装的一些软件的体积小于3M的.exe文件压缩些发来,越多越好。:kaka12:
这玩意还真滑稽
日志中那些8位数随机字母数字组合的驱动项目,你用SRENG工具删除吧
自己知道分辨吧???
networkedition - 2010-10-14 11:16:00
lz上传的exe程序是非pe文件,是个损坏的程序。看来这个病毒有点残呀。:kaka6:
zemelaoshi - 2010-10-14 11:31:00
版主,我发现了一个现象:
我电脑重新开机不执行任何执行档的时候,好像U盘里面不会生成那两个文件,跟上面说的一样。当我执行exe时杀毒软件就会弹出拦截窗口,拦截一个driver,就是你说的那个,然后U盘里面就又感染病毒了。发几个可能被感染的执行档给你看看,谢谢版主了!
附件:
7-Zip.zip
zemelaoshi - 2010-10-14 11:34:00
zemelaoshi - 2010-10-14 11:55:00
那些driver已经被我删除了,那个毒源在哪我没找到呀!:kaka4:
networkedition - 2010-10-14 12:36:00
把你执行exe时杀毒软件就会弹出拦截窗口,拦截一个driver。这个exe程序打包发上来。你那个7zip是0字节。
zemelaoshi - 2010-10-14 12:40:00
可能被感染的执行档1.zip
可能被感染的执行档2.zip
这个就是,上面的附件
networkedition - 2010-10-14 13:03:00
ms那几个文件没有被感染,其中有两个是非pe文件,我运行了其中一个KBMntNT.exe未见异常。
zemelaoshi - 2010-10-14 13:46:00
等一下,我重灌系统,重新发一份
天月来了 - 2010-10-14 13:48:00
重灌系统,重新发一份 :kaka2:
zemelaoshi - 2010-10-14 14:17:00
这次真晕了,怀疑ghost档都被他感染了,还原后机器都不能进入Windows了,一进去就蓝屏。算了,只能格盘了,不过还是要谢谢版主帮了我这么多忙,谢谢了!:kaka1:
© 2000 - 2025 Rising Corp. Ltd.
